第一章:
1、2017年6月1日,《網絡安全法》開始實施。
2、網絡安全5大基本要素:保密性、完整性、可用性、可控性、不可否認性。
3、計算機網絡面臨的威脅:
(1)主動攻擊:終端、篡改、僞造
(2)被動攻擊:截獲、竊取。
4、網絡脆弱性的原因:
(1)開放的網絡環境(網絡用戶可以自由訪問網站,不受時間和空間約束,病毒等有害信息可以在網絡快速擴散)。
(2)協議本身脆弱性(網絡傳輸離不開協議,二這些協議在不同層次、不同方面都存在漏洞)。
(3)操作系統漏洞(系統設計存在缺陷、系統源代碼存在漏洞、用戶配置不正確造成的安全問題)。
(4)人爲因素(安全意識薄弱)。
5、2015年6月11日增設網絡空間安全一級學科。
6、信息安全的四個階段:
(1)通信保密階段(1959年,香農發表《保密通信的信息理論》將密碼學納入科學軌道,1976年Diffie和Hellman提出公鑰密碼體制,1977年,美國公佈《國家數據加密標準DES》)。
(2)計算機安全階段(1983年,美國國防部出版《可信計算機系統評價準則》)。
(3)信息技術安全階段(1993-1996年,美國國防部提出《信息技術安全通用評估標準》,即CC標準)。
(4)信息保障階段(各國提出信息安全保障體系)。
7、DMZ區:
(1)概念:DMZ區,即非軍事化區。它是爲了解決安裝防火牆後外部網絡的訪問用戶不能訪問內部網絡服務器的問題,而設立的一個非安全系統與安全系統之間的緩衝區,該緩衝區是位於企業內部網絡和外部網絡之間的小網絡區域。
(2)訪問權限:內網可以訪問外網,內網可以訪問DMZ區,外網不可以訪問內網,外網可以訪問DMZ區,DMZ訪問內網有限制,DMZ不能訪問外網(SMTP除外)。
第二章:
1、搜索引擎:
Intitle:搜索範圍限定在網頁標題
Site:搜索範圍限定在特定站點中
Inurl:搜索範圍限定在url鏈接中
Filetype:搜索範圍限定在指定文檔格式中
Link:搜索某個鏈接的反向鏈接
例:filetype:xlsintitle:學院
inurl:login.php title:公司
intitle:index of /images
2、常見端口:
21:ftp 443:https
22:ssh 1433:ms sql server
23:telnet 1521:oracle
25:smtp 3306:mysql
53:dns 3389:rdp
80:http 8080:proxy
110:pop3
161:snmp
3、nmap掃描:
-sP (Ping掃描):僅對主機進行ping掃描(主機發現),輸出做出響應的主機列表,無進一步測試。
-sT(TCP 全連接掃描):調用socket函數connect()連接到目標主機,完成一次完整的三次握手過程,如果目標端口處於開放狀態,connect()成功返回。
-sS (TCP 半連接掃描):掃描器向目標主機發送SYN數據包,如果應答爲RST包,那麼說明目標端口關閉,如果應答爲SYN+ACK包,那麼說明該端口處於監聽狀態,此時向目標主機傳送一個RST包來停止連接。
-sU (UDP掃描):發送空的(沒有數據)UDP報頭到目標端口,如果返回ICMP端口不可達(代碼3),該端口關閉,如果返回其他ICMP不可達錯誤,表明該端口被過濾(filtered)。
-sF(TCP FIN掃描):掃描器向目標主機發送FIN包,當FIN包到達關閉的端口,數據包被丟棄,同時返回RST包,若到達打開的端口,數據包被求其且不返回數據包。
4、死亡之ping:ping -t -l 65500
原理:利用ip數據包頭部的數據長度進行攻擊,通過發送大於65536字節的ICMP包使對方操作系統崩潰。通常我們不可以發送大於65536字節的ICMP包,但可以把報文分割成片段,然後再目標主機上重組,最終導致目標主機緩衝區溢出。
5、SYN洪水(簡答,5分)
原理:客戶端向服務器發送SYN請求數據包,服務器發送SYN+AKC數據包對客戶端進行響應,在服務器發送響應數據包後,將會等待一段時間以接收來自客戶端的確認數據包,此時,服務器與客戶端建立連接所需的資源一直被佔用。SYN洪水就是利用在這段時間內向服務器發送大量SYN請求而不作ACK確認的方式,使大量連接處於等待狀態,最終導致服務器資源被耗盡。
第三章:
1、計算機病毒的定義:計算機病毒,指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼。
2、計算機病毒是程序。
3、計算機病毒的分類(按宿主分類):
(1)引導性病毒:引導型病毒隱藏在ROM BIOS中,先於操作系統,依託的環境是BIOS中斷服務程序。引導型病毒利用操作系統的引導模塊放置在某個固定位置,並且控制權的轉交方式是以物理地址爲依據,而不是操作系統引導區的內容爲依據。因此,病毒佔據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或更換,待病毒程序被執行後,將控制權交給真正的引導區內容,使這個帶病毒的系統看似正常運轉,病毒卻已隱藏在系統中伺機傳染、發作。
(2)文件型病毒:文件型病毒主要以可執行文件爲宿主,一般感染擴展名爲“.com””.exe”和”.bat”等可執行文件。文件病毒通常隱藏在宿主程序中,執行宿主程序時,將會先執行病毒程序,再執行宿主程序,看起來一切正常。然後,病毒駐留內存,伺機傳染其他文件或直接傳染其他文件。
(3)宏病毒:宏病毒主要以MicrosoftOffice的“宏”爲宿主,寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,並能通過DOC文檔以及DOT模板進行自我複製及傳播。
3、引導型病毒和文件型病毒區別:
(1)文件型病毒是病毒藏在文件裏,執行可執行文件時發作。
(2)引導型病毒是病毒藏在硬盤的引導扇區裏,系統啓動時發作。
4、世界上出現的第一個病毒:
Brain,由巴基斯坦兩兄弟爲了保護軟件著作權制作的引導型病毒。
5、中國出現的第一個病毒:小球病毒。
6、蠕蟲病毒和普通病毒的區別:
7、計算機的四大組成部分:
(1)感染標誌:計算機病毒在感染前,需要先通過識別感染標誌判斷計算機系統是否被感染。若判斷沒有被感染,則將病毒程序的主體設法引導安裝在計算機系統,爲其感染模塊和破壞表現模塊的引入、運行和實施做好準備。
(2)引導模塊:實現將計算機病毒程序引入內存,並使得傳染和表現模塊處於活動狀態。引導模塊需要提供自我保護功能,避免在內存中的自身代碼不被覆蓋或清除。計算機病毒程序引入內存後,爲傳染模塊和表現模塊設置相應的啓動條件,以便在適當的時候或合適的條件下激活傳染模塊或者出發表現模塊。
(3)感染模塊:
1感染條件判斷子模塊:根據引導模塊設置的傳染條件,判斷當前系統環境是否滿足傳染條件。
2傳染功能實現子模塊:如果傳染條件滿足,則啓動傳染功能,將計算機病毒程序附加在其他宿主程序上。
(4)破壞模塊
1激發控制:當病毒滿足某一條件,病毒發作。
2破壞操作:不同病毒由不同的操作方法,典型的惡性病毒是瘋狂拷貝、刪除文件等。
8、病毒的防護(簡答題、填空題):
(1)特徵代碼法(文件特徵代碼、內存特徵代碼):當病毒公司收集到一種新的病毒時,就會從這個病毒程序中街區一小段獨一無二而且足以表示這種病毒的二進制代碼,來當作掃描程序辨認此病毒的依據,而這段獨一無二的二進制代碼,就是所謂的病毒特徵碼。分析出病毒特徵碼後,並集中存放於病毒代碼庫文件中,在掃描的時候將掃描對象與特徵代碼庫比較,如果爲何,則判斷爲感染上病毒。
(2)特徵代碼法優點:檢測準確、可識別病毒名稱、誤報率低、依據檢測結果可做殺毒處理。
(3)特徵代碼法缺點:速度慢、不能檢測多形性病毒、不能對付隱蔽性病毒、不能檢測未知病毒。
第四章:
1、密碼學五元組:
(1)明文:m 明文空間:M
(2)密文:c 密文空間:C
(3)密鑰:k
(4)加密函數:E
(5)解密函數:D
2、對稱密碼和非對稱密碼的區別(填空題):對稱密碼加密和解密使用的密鑰一樣,非對稱密碼加密和解密使用的密鑰不一樣。
3、仿射密碼:
(1)例題:密文UCR由仿射函數9x+2(mod 26)加密的,求明文。
(2)解答:由仿射密碼解密函數:m=Dk1,k2(c)=((c-k2)*k1-1)mod26,其中,k1=9,k2=2。
求k1在mod26條件下的逆元:
N=A*a(0)+r(0)
A=r(0)*a(1)+r(1)
r(0)=r(1)*a(2)+r(2)
…
r(n-1)=r(n)*a(n+1)+0
其中N=26,A=k1=9;
a(n) a(n-1) … a2 a1 a0
b(-1) b(0) b(1) … b(n-2) b(n-1) b(n)
26=9*2+8;
9=8*1+1;
8=1*8+0;
由上面公式:b-1=1,b0=1*1=1,b1=1+b0*2=bn
由於商的個數爲偶數,所以,k1在mod26條件下的逆元爲:3
所以:m=Dk1,k2(c)=((c-k2)*3)mod26
U=20,C=2,R=17
所以,m(U)= Dk1,k2(20)=2=C
m(C)= Dk1,k2(2)=0=A
m(R)= Dk1,k2(17)=19=T
明文爲:CAT
4、playfire密碼:
(1)例題:明文this is playfire cipher 密鑰:can you get the cipher,求密文。
(2)解答:由題中條件,構造playfire密鑰矩陣:
將明文拆分成兩個一組:th isis pl ay fi re ci ph er
通過密鑰矩陣及playfire加密規則,得到密文:hu fc fc rk no sf lr uf dg rl
5、vigenenre密碼:
(1)例題:m=VIGENENRE,k=HELLO,求密文。
(2)解答:由vigenenre密碼計算公式:c=Eki(m)=(m+ki)mod26 (i=1、2、3、4、5)
H=7,E=4,L=11,O=14,所以,k1=7,k2=4,k3=11,k4=14
V=21,I=8,G=6,E=4,N=13,R=17
c(V)= Ek1(V)=(21+7)mod26=2=C
c(I)= Ek2(I)=(8+4)mod26=12=M
c(G)= Ek3(G)=(6+11)mod26=17=R
c(E)= Ek4(E)=(4+11)mod26=15=P
c(N)= Ek5(N)=(13+14)mod26=1=B
c(E)= Ek1(E)=(4+7)mod26=15=P
c(N)= Ek2(N)=(13+4)mod26=17=R
c(R)= Ek3(m)=(17+11)mod26=12=M
c(E)= Ek4(E)=(4+11)mod26=15=P
密文爲:CMRPBPRMP
6、RSA密碼(給出p、q、e,求x):
(1)例題:給出p=7,q=17,e=5,求x
(2)解答:
1n=p*q=119
2Φ(n)=(p-1)*(q-1)=96
3選取公鑰e,使得gcd(e,Φ(n))=1,題目已經選取e=5
4計算私鑰d:使得(d*e)modΦ(n)=1,即(d*e)=k*96+1
5取k=4,計算得d=77
公開(n,e)=(119,5),將d保密。明文:m=19
加密:c=memod(n)=195mod(119)=66
解密:m=cdmod(n)=6677mod(119)=19
7、逆元的含義:模n意義下,1個數a如果有逆元x,那麼除以a相當於乘以x。
8、DES的密鑰輸入的時候是64爲,在做了第一次壓縮之後,變成56位。
9、摘要算法:MD5算法輸出散列值128位,sha算法輸出的散列值爲160位。
10、數字信封:數字信封是指發送方使用接收方的公鑰來加密對稱密鑰後所得的數據,數字信封是用來確保對稱密鑰傳輸安全性的技術。
11、數字簽名:數字簽名指用戶用自己的私鑰對原始數據的哈希摘要進行加密所得的數據,數字簽名是用來確保發送者對發送的信息不可否認的技術。
12、完整加密的加密解密流程:
13、PKI四大組成部分:
(1)權威認證機構(CA):擔任用戶公鑰證書的生成和發佈或CRL的發佈職能。
(2)註冊機構(RA):1進行證書申請者的身份認證,2向CA提交證書申請請求,3驗證接收到的CA簽發的證書,並將之發放給證書申請者。4必要時,協助證書作廢過程。
(3)證書:符合一定格式的電子文件,用來識別電子證書持有者的真實身份。
(4)終端實體:1初始化(註冊),2證書密鑰更新,3證書撤銷/廢止/更新請求。
14、PKI中,數字證書包含的內容:
(1)包含姓名、地址、公司、電話號碼、Email地址…與身份證上的姓名、地址等類似。
(2)包含證書所有者的公鑰。
第五章:
1、實體鑑別方法:
(1)實體所知(知識、口令、密碼)
(2)實體所有(身份證、信用卡、鑰匙、智能卡、令牌等)
(3)實體特徵(指紋,筆跡,聲音,手型,臉型,視網膜,虹膜)
2、訪問控制的實現:
(1)訪問控制列表(ACL):客體被主體訪問的權限。
(2)訪問控制矩陣(ACM):
行:主體(用戶)
列:客體(文件)
矩陣元素:規定了相應用戶對應於相應的文件被准予的訪問許可、訪問權限。
(3)訪問控制能力列表(ACCL):主體可訪問客體的權限。
3、防火牆發展歷程:
4、防火牆體系結構:
(1)雙宿主主機體系結構:雙宿主主機位於內部網和Intelnet之間,一般來說,使用一臺裝有兩塊網卡的堡壘主機作防火牆。這兩塊網卡各自與受保護的內部網和外部網相連,分別屬於內網兩個不同的網段。
(2)被屏蔽主機體系結構:屏蔽主機防火牆易於實現,由一個堡壘主機屏蔽路由器組成。堡壘主機被安排在內部局域網中,同時在內部網和外部網之間配備了屏蔽路由器,在這種體系結構中,通常在路由器上設置過濾規則,外部網絡必須通過堡壘主機纔可以訪問內部網絡中的資源,並使這個堡壘主機成爲從外部網絡唯一可以直接到達的主機,對內部網絡基本控制策略由安裝在堡壘主機上的軟件決定,確保內網不被未被授權的外部用戶攻擊。
(3)被屏蔽子網體系結構:屏蔽子網防火牆由一個防火牆和兩個路由器構成屏蔽子網。與被屏蔽主機體系結構相比,被屏蔽子網體系結構添加了周邊網絡,在外部網絡與內部網絡之間加上了額外的安全層。
5、防火牆原理:
(1)包過濾防火牆:包過濾防火牆在網絡層實現數據的轉發,包過濾模塊一般檢查網絡層、傳輸層內容,包括下面幾項,
① 源、目的IP地址;
② 源、目的端口號;
③ 協議類型;
④ TCP報頭的標誌位。
(2)代理防火牆:在一臺代理設備的服務器和客戶端之間建立一個過濾措施,就成了“應用代理”防火牆。這種防火牆實際上是一臺小型的帶有數據“檢測、過濾”功能的透明代理服務器,但是並不是單純的在一個代理設備中引入包過濾技術,而使用“應用協議分析”技術。
(3)狀態檢測防火牆:狀態檢測防火牆通過一種被稱爲“狀態監視”的模塊,在不影響網絡安全正常工作前提下,採用抽取相關數據的方法,對網絡通信的各個層次實行監測,並根據各種過濾規則做出安全決策。
(4)複合型防火牆:複合型防火牆採用自適應代理技術,初始的安全檢測仍然發生在應用層,一旦安全通道建立後,隨後的數據包就可以重新定向到網絡層,並可以根據用戶定義的規則,動態“適應”傳送中的數據流量。
第七章:
1、SQL注入流程:
(1)判斷環境,尋找注入點,判斷網站後臺數據庫類型。
(2)根據諸如參數類型,在腦海中重構SQL語句原貌,從而猜測數據庫中的表名和列名。
(3)在表名和列名猜解成功後,在使用SQL語句,得出字段的值。